Небезопасный Salebot или как не "профукать" персональные данные при заказе чат-бота
Здесь не будет глубокого погружения в механизмы передачи данных и высоких технических терминов. Только факты и собственные наблюдения.
Будет интересно разработчикам на Salebot и некоторым заказчикам чат-ботов, заботящихся о безопасности.
Разработкой чат-ботов занимаюсь уже почти 5 лет. Сначала писал на питоне, потом перешел на конструктор чат-ботов, так как больший фунционал из коробки, относительно легкое «программирование», ну и собственно, скорость разработки. И так.
Выбор пал сразу на этот конструктор, освоение было делом не сложным и количество выполняемых проектов резко возрасло, что не могло не радовать.
Интеграции с основными месенджерами, собственная CRM, аналитика, подключаемые сервисы (прием платежей в боте, телефония, инфопродукты и т.д).
Как понятно из вступления, если вам нужен чат-бот — вам нужен Salebot.
Единственный минус в освоении конструктора — его справка;) даже для разработчиков со стажем, она бывает двусмысленной и какой-то не полноценной, и только судя по salebot.wiki, видно, что ребята исправляются. Ладно, не суть.
Дальше не буду лить воду, сразу к делу.
После регистрации в Сейле (Премиум на 14 дней — бесплатно), в конструкторе воронок нужно создать какой-нибудь пустой блок и нажать на кнопку «Протестировать бота»:
Откроется вкладка тестирования бота. Нужно немного подождать или что-нибудь написать в окне тестирования и терпение нам воздастся;)
Далее, жмакаем правой кнопкой в любом месте и выбираем пункт Просмотреть код:
Откроется окно DevTools и переходим на вкладку Console:
И, барабанная дробь. что мы видим:
Ого! Из того, что мне встречалось: имена и номера телефонов, ссылки на (бес)платные материалы, доступы в приватные телеграм каналы (по подписке), события оплаты и т.п. И Бог его знает, что ещё может встретиться тут.
Мне не особо интересны были эти данные, так как мы законоопослушные граждане и бережно относимся к конфиденциальности. Да ведь?! Но, мне стало интересно, откуда все эти сообщения.
В современном браузере проще простого выявить ошибки и понять нагрузку того или иного скрипта или его части.
В том же самом окне, нажмем на ссылку ненадежного скрипта справа:
И попадаем на вкладку Sources:
Вот, где-то тут ошибка ��
Ладно, жмакаем кнопку Pretty print, вот она:
О, так уже понятнее:
Но, где найти место вывода сообщения в консоль? Можно попробовать поиск по фразе так: console.log или сходить обратно на вкладку Console и увидеть, что теперь ссылка возле каждого сообщения изменилась. Переходим:
Собственно, на этом всё. Так мы находим место трасляции сообщений:
Из контекста становится ясно что это за сообщения и какого они тут делают. Это сообщения из Окна тестирования ботов других разботчиков, попадающие под определенные критерии. Думаю, что дальнейшие исследования в этом направлении каждый проведет самостоятельно, если на то будет желание.
Сейлбот «дарит» разработчикам сервис создания коротких ссылок, но, к сожалению, многие не полностью читают документацию и это приводит к «сливу информации». При использовании коротких ссылок почему-то забивают на безопасность.
Типичная короткая ссылка в сейл бот выглядит так:
sblnk.ru/68090150, или так: sblnk.ru/68090000
То есть, домен sblnk.ru и порядковый номер. В ссылках выше, номера придумал сам, не загадывая есть там контент или нет.
Какие-то разработчики, создавая такие ссылки в боте, забывают их после использования удалить и материалы по ссылке становятся «общим достоянием». Попробуйте сами вписать любой номер после имени домена и поймете о чем речь.
Хотя в сейле масса функций, позволяющих исключить подобную оплошность:
- proxy_date() и proxy_timeout()
- remove_links()
- remove_one_time_links()
- remove_timer_links()
Используйте их! Позаботьтесь о безопасности.
Выводы для разработчиков: не следует проводить тестирование бота во вкладке тестирования с реальными или значимыми для заказчика данными. Это может быть не безопасно. По крайней мере, пока.
Использовать для коротких ссылок методы их удаления.
Выводы для salebot: сделать случайную генерацию коротких ссылок, используя буквенно-цифровую генерацию. Провести работу над ошибками.
Спасибо всем, кто дочитал. Надеюсь было немного интересно и чуть познавательно. Об обнаруженных ошибках я сообщил в поддержку salebot, обещали принять меры. Хороших вам ботов и добрых заказчиков!
Здравствуйте, спасибо за замечания, приступили к исправлениям. От себя добавлю. В тех логах нет ничего критичного, это сообщения из того же проекта(можно по номеру увидеть), к которому у вас есть доступ. У нас единое окно тестирования для всего проекта. В него можно зайти и увидеть все, что тестировали ранее. Если у вас конечно есть доступ к проекту.
В любом укорачивателе можно перебрать коды и получить, что скрывается за ссылкой. Если по ссылке конфиденциальная информация, рекомендую использовать авторизацию через мессенджеры: https://docs.salebot.pro/messendzhery-i-chaty/kak-sozdat-bota-v-telegram#kak-sozdat-knopku-dlya-avtorizacii-na-saite
В этом-то и "фишка", если можно так сказать — моих проектов на скриншотах нет. Бродкаст какой-то получается.
о Sblnk.ru
Индекс качества сайта Sblnk.ru
на сегодня 01 октября 2023 года, воскресенье:
(чем индекс больше — тем лучше).
Оцените рейтинг сайта sblnk.ru по 5-бальной шкале от 1 до 5, кликнув на соответствующую звёздочку выше.
1 звезда — хуже некуда
2 звезды — плохо
3 звезды — удовлетворительно
4 звезды — хорошо
5 звёзд — отлично
Наш сайт wdomain.ru не имеет отношения к сайту и домену sblnk.ru и все данные о сайте и домене на этой странице принадлежат и относятся к сайту и домену sblnk.ru
Наши юристы помогут, если ваши права были нарушены — опишите как можно подробнее проблему и вам предложат пути её решения.
Отзывы, жалобы, вопросы и информация о сайте sblnk.ru.
Оставьте ниже на этой странице свой положительный отзыв, напишите жалобу или задайте вопрос по сайту (домену) sblnk.ru. Пишите текст без переноса строк, все переносы автоматически удаляются.
За оставленные отзывы ответственность несут пользователи, нецензурные комментарии будут удалены.
Добавьте эту страницу в закладки для самостоятельного отслеживания ответов на ваши вопросы, отзывы и комментарии.
Что за сайт sblnk.ru?
Посетить сайт sblnk.ru можно, только если он существует в настоящее время и у него нет проблем с доступностью.
Но сначала полезно почитать отзывы о сайте sblnk.ru, которые можно найти через поисковые системы или на этой странице, если они есть.
Вы можете узнать, что на сайте sblnk.ru было раньше — из истории сайта sblnk.ru на этой странице ниже. Иногда это бывает важной информацией, если сейчас сайт не доступен.
Не работает сайт sblnk.ru?
Если у вас не работает и не открывается сайт sblnk.ru — проверьте его на доступность в сети Интернет прямо сейчас.
Данные о сайте
Тема сайта: 404 Not Found
Заголовок сайта: Not Found
IP-адрес сайта: 51.250.88.121
Расположение сервера: Россия Москва Москва
Координаты сервера: Широта: 55.75222 Долгота: 37.61556
Данные обновлены: 11-09-2023 18:47
Метаданные сайта
Описание главной страницы:
не определено.
Ключевые слова главной страницы:
не определены.
Данные обновлены: 11-09-2023 18:47
Анализ сайта
По данным запроса к сайту:
Что за сайт sblnk.ru?
Сервис проверяет работает сайт sblnk.ru или нет. Обратите внимание, сайт может работать, но содержать текст «Технические работы».
Статус сайта может быть не работает, если сайт блокирует IP адреса России.
| Статус сайта | Проверяем работает сайт или нет.. |
| Дата проверки | |
| Код ответа |
О сайте
- Рекомендуют: 0
- Не рекомендуют: 0
- Не работает: 0
- Домен зарегистрирован более 1 года
- Сайт находится в России
- Сайт имеет просмотры, но не имеет отзывов
Информация о домене
В таблице ниже представлены данные по домену sblnk.ru и комментарии, которые помогут вам лучше понять информацию.
Владелец домена и сайта могут быть разные люди.
Рекомендации по безопасным покупкам
Если сайт sblnk.ru оказывает услуги, продает товары или предлагает вам сделать оплату с помощью банковской карты, обратите внимание на следующие моменты:
- Желательно, чтобы на сайте были контактные данные. Номер телефона, юридический адрес. По номеру телефона должен отвечать оператор, а не голосовое сообщение.
- Если проводите оплату, обратите внимание на Получателя платежа и Комментарий по услуге.
- Вы можете попросить ссылку на договор, если она не добавлена на сайт.
- Желательно, чтобы вы знали ИНН организации или физического лица, перед проведением оплаты за услугу или товар.
Как связаться с владельцем sblnk.ru?
Данные по владельцу домена есть у Регистратора домена. Ниже представлены контактные данные Регистратора, если ваши права были нарушены или у вас есть вопросы.
| Компания: | ООО «РЕГ.РУ» |
| Адрес: | 123308, г. Москва, 3-я Хорошевская 2, стр. 1 |
| Телефон: | 8 800 555-34-78 , +7 495 580-11-11, +7 (495) 514-05-73 |
| Написать владельцу домена: | https://www.reg.ru/whois/admin_contact |
Добавить отзыв
Доступна услуга «Ускоренная модерация», для быстрой проверки вашего отзыва.
Sblnk.ru: что это за сайт, отзывы о компании?
С недавних пор в Интернете появилось множество упоминаний о том, что сайт Sblnk.ru предлагает клиентам выгодные условия для открытия счетов, вкладов и кредитов в банке “Соколовский”. Однако, по всей вероятности, это не что иное, как фишинговый портал, цель которого – обмануть доверчивых пользователей и получить доступ к их личным данным. В статье расскажем, как распознать сомнительный проект, какие отзывы о нем оставляют люди и на что стоит обратить внимание, дабы не стать жертвой аферистов.
Что такое фишинг?
Это разновидность мошенничества, при котором злоумышленники создают поддельные веб-ресурсы или электронные письма, имитирующие официальные сайты известных компаний или организаций. Главная задача такой схемы – заставить посетителя внести логин, пароль, номер карты или другую конфиденциальную информацию в специальную форму, чтобы затем воспользоваться ею в корыстных целях. 
Следующие признаки позволят выявить фишинговый портал:
-
Неправильный или подозрительный адрес страницы. Официальный сайт банка “Соколовский” расположен на https://www.sbnk.ru/, а не на Sblnk.ru или каком-то другом домене.
Кроме того, на поддельном ресурсе может быть использована кириллица вместо латиницы либо символы, которые легко спутать с обычными (например, 0 вместо O или 1 вместо l).
При посещении любого банковского сайта необходимо проверить, есть ли в адресной строке браузера зеленый замок и префикс https://, означающие, что данные передаются по защищенному протоколу SSL. Если их нет, это может быть признаком фишинга.
Что пользователи пишут о Sblnk.ru?
Если посмотреть в Интернете отзывы о Sblnk.ru, то можно найти множество негативных комментариев от людей, столкнувшихся с обманом. Сайт использует различные схемы: рассылает фальшивые SMS и письма от имени банка “Соколовский”, просит предоставить конфиденциальные данные или перевести деньги третьим лицам. Все эти действия направлены на то, чтобы завладеть вашими средствами.
Специалисты, работающие в финансовом учреждении никогда не требуют от клиентов сообщить реквизиты и другую секретную информацию.